Windows-toimialueen Domain Admins -oikeuksien kaventaminen
Aalto, Outi (2017)
Metropolia Ammattikorkeakoulu
2017
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-201705117800
https://urn.fi/URN:NBN:fi:amk-201705117800
Tiivistelmä
Tässä energia-alan yritykselle tehdyssä insinöörityöprojektissa vähennettiin Domain Admins -ryhmän jäseniä. Kriittisen infrastruktuurin yrityksessä huoltovarmuus on aina motiivina tietoturvatyössä. Työ perustuu siis vahvasti ISO/IEC 27001 -standardiin, jonka vaatimuksista yksi on mahdollisimman pienet käyttöoikeudet.
Eräs tietoturvan perusasioista on niin sanottu CIA-malli, joka muodostuu kolmesta tekijästä: luottamuksellisuus (confidentiality), eheys (integrity) ja saatavuus (availability). Tämä vaatii tuekseen muiden tietoturvakontrollien lisäksi käyttöoikeuksien hallintaa. Käyttöoikeuksien merkitys tietoturvalle tulee parhaiten esiin haittaohjelmien tavassa toimia kirjautuneen käyttäjän oikeuksilla.
Järjestelmä, jonka puitteissa projekti tehtiin, on Microsoft Windows Active Directory. Domain Admins -ryhmä on yksi sen tärkeimmistä käyttöoikeusryhmistä, mutta se on lukuisissa organisaatioissa aivan liian laajassa käytössä. Sen tarkoitus on antaa oikeuksia Windows-toimialueen ylläpitoon, mutta sitä usein käytetään yleisenä ylläpitoryhmänä.
Projektissa päädyttiin poistamaan kaikki ylläpitäjät Domain Admins -ryhmästä ja luomaan muutama erillistunnus toimialueen ylläpitäjille. Muille ylläpitäjille luotiin uusi käyttöoikeusryhmä, jolla korvattiin ne menetetyt oikeudet, jotka olivat työtehtävien kannalta tarpeellisia.
Projektin alussa tunnistettiin lähinnä käyttöoikeuksien vajauksiin liittyviä ongelmista, mutta todelliset ongelmat olivat ajankäytössä, tiedottamisessa ja tehtävien delegoinnissa. Näiden tunnistamattomien riskien toteutuminen vaikutti myös tunnistettujen riskien toteutumiseen.
Pääosa toteutuksen aikana esiin tulleista ongelmat saatiin korjattua ensimmäisen viikon aikana, eikä vakavia ongelmia jäänyt. Projektin tavoitteet saavutettiin ja käyttöoikeudet ovat nyt hyväksyttävällä tasolla. Kohteena olleiden ylläpitäjien työ ei lopulta kärsinyt niin paljon kuin oli pelätty.
Eräs tietoturvan perusasioista on niin sanottu CIA-malli, joka muodostuu kolmesta tekijästä: luottamuksellisuus (confidentiality), eheys (integrity) ja saatavuus (availability). Tämä vaatii tuekseen muiden tietoturvakontrollien lisäksi käyttöoikeuksien hallintaa. Käyttöoikeuksien merkitys tietoturvalle tulee parhaiten esiin haittaohjelmien tavassa toimia kirjautuneen käyttäjän oikeuksilla.
Järjestelmä, jonka puitteissa projekti tehtiin, on Microsoft Windows Active Directory. Domain Admins -ryhmä on yksi sen tärkeimmistä käyttöoikeusryhmistä, mutta se on lukuisissa organisaatioissa aivan liian laajassa käytössä. Sen tarkoitus on antaa oikeuksia Windows-toimialueen ylläpitoon, mutta sitä usein käytetään yleisenä ylläpitoryhmänä.
Projektissa päädyttiin poistamaan kaikki ylläpitäjät Domain Admins -ryhmästä ja luomaan muutama erillistunnus toimialueen ylläpitäjille. Muille ylläpitäjille luotiin uusi käyttöoikeusryhmä, jolla korvattiin ne menetetyt oikeudet, jotka olivat työtehtävien kannalta tarpeellisia.
Projektin alussa tunnistettiin lähinnä käyttöoikeuksien vajauksiin liittyviä ongelmista, mutta todelliset ongelmat olivat ajankäytössä, tiedottamisessa ja tehtävien delegoinnissa. Näiden tunnistamattomien riskien toteutuminen vaikutti myös tunnistettujen riskien toteutumiseen.
Pääosa toteutuksen aikana esiin tulleista ongelmat saatiin korjattua ensimmäisen viikon aikana, eikä vakavia ongelmia jäänyt. Projektin tavoitteet saavutettiin ja käyttöoikeudet ovat nyt hyväksyttävällä tasolla. Kohteena olleiden ylläpitäjien työ ei lopulta kärsinyt niin paljon kuin oli pelätty.